[an error occurred while processing the directive]

SlammerはTrustworthy Computing提唱後の最大の事件
~Microsoft社内の感染例を紹介

セキュリティレスポンスチーム 奥天陽司氏

2月20日 開催


 マイクロソフト株式会社は20日、定例のプレスセミナーにおいて、先月、韓国などで大きな被害をおよぼしたワーム「Slammer」についての総括的な報告を行なった。

 マイクロソフトのセキュリティレスポンスチームの奥天 陽司氏は、「Slammerは、Trustworthy Computingの提唱後、最大のセキュリティインシデント(事件)であった」と位置づけ、感染方法、対応策の流れなどを順次解説した。

 日本における対応状況において良かった点は、他国に比べセキュリティへの関心が高くなっていたこと、ISPのフィルタリングなどの対策が早期に行なわれたことを挙げた。逆に悪かった点としては、修正プログラムの適応方法が面倒だったこと、見えにくく判別しにくいMSDEがターゲットとなっており、対応が遅れたことなどを挙げた。

 結論としてはCodeRed/Nimdaの時に比べ、情報公開スピード、取引顧客への告知が速やかに行なわれ、被害を少なくしたと総括した。

Slammerの概要 NimdaとSlammerへの対応を対比

 また、質疑応答ではMicrosoft社内のサーバーの感染があったことも認め、「コーポレートネットワーク(基幹ネットワーク)に接続を禁じられている、テスト環境用のデータベースサーバーが、実際には接続されていた。このサーバーは、4ウェイCPUと3枚のネットワークカードを持ち、テスト環境用にパッチが当てられておらずSlammerに感染し、ネットワークを圧迫した」と述べた。

 Microsoft社内のコーポレートネットワークは本来、情報システム部が規約に従って管理しているが、規約に反した運営が行なわれていたことに関しては「重大な問題として受け取っている」と述べた。

 Microsoftなどのソフトウェアメーカーが、自社内の感染状況について言及することは、きわめて異例なことだ。感染状況については問題があるものの、セキュリティに取り組む情報公開の姿勢として評価したい。

 また、修正プログラムについても多くの言及があり、インストール操作の簡便性、他のソフトウェアへの影響を与えない完成度などを課題として明らかにした。この部分でも、セキュリティ修正プログラムによって問題が起きた事例として「MS02-071」と「MS03-004」の2つの実例が紹介された。修正プログラムの悪影響について言及されることも異例であり、情報公開への積極性が感じられた。

 MS02-071ではWindows NT 4.0の修正プログラムの適用後にシステムが停止する問題が、MS03-004では修正プログラムが公開以前にWindows Updateで登録され、正式なプログラムリストに表示されないという問題が発生したという。

□MS02-071
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-071.asp
□MS03-004
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-004.asp

 セミナーでも述べられたように、セキュリティ対策は、いまやれることの精度を高め、その度ごとにきちんと対応していくことが基本となるだけに、今回のような情報公開の姿勢は歓迎される。願わくは、この姿勢が変わらず、通常はWindows Updateの自動更新に任せているエンドユーザーでも、なにか疑問を抱いた場合には、きちんと情報が参照できるような環境を期待したい。

MS02-071の問題 MS03-004の問題

 以下、セミナーの内容を元に、Windowsベースの環境のセキュリティ対策の基本知識について改めて紹介する。

セキュリティホール深刻度基準

●セキュリティホールの深刻度の基準

 「緊急(Critical)」、「重要(Important)」、「警告(Moderate)」、「注意(Low)」の4段階。「緊急」はユーザーの操作なしでワームが蔓延する可能性があるもので、すぐ対応が必要とされる。

□マイクロソフト セキュリティ情報の深刻度評価システム
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/policy/rating.asp

●現在、注意が必要なセキュリティ問題

 現時点で、危険を伴い対策が必要なセキュリティ問題が5つ紹介された。とくに最後の2つは一般ユーザーにも深く関連する。

・MS02-062(IISサーバー)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-062.asp
・MS02-061(SQL Server)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-061.asp
・MS02-065(MDAC)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-065.asp
・MS02-072(Windows Shell)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-072.asp
・ms03-004(Internet Explorer)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-004.asp

●セキュリティ修正プログラムの種類

修正プログラムの位置付け
・セキュリティ修正プログラム
 緊急かつ重要なセキュリティ問題を個別公開

・累積的セキュリティ修正プログラム
 重要なセキュリティ問題を多数含む

・Security rollup Package
 セキュリティ修正プログラムと、最低限の周辺プログラムを含む

・Service Pack
 製品を最新に保つために広範囲な修正プログラムを含む

●個人ユーザーはWindows Update

 一般ユーザーの対策としてはWindows Updateにより可能な限り自動インストールされる。Windows Updateの通知機能はWindows NT 4.0を除く、Windows 98以降のOSに提供されている。入手先はWindows Update。さらにWindows MeとWindows XPについては、自動更新クライアントも用意されており、設定することで自動的にダウンロードと更新が行なわれる。

 Windows Updateのような自動アップデートについては、SQLサーバーとOfficeについて研究が行なわれており、最終的には全製品に導入することが検討されている。

□Windows Update
http://windowsupdate.microsoft.com/

●サーバー管理者は、セキュリティ情報の一覧ページ

 サーバー製品を中心とするセキュリティ情報の一覧ページ。「修正プログラムが適用できない場合の代案なども記載されているので、サーバー管理者は、ぜひチェックしてほしい」という。しかし、情報量はともかく、もう少し見やすくする工夫は必要と思われる。

□セキュリティ情報ページ
http://www.microsoft.com/japan/technet/security/current.asp

□マイクロソフトのホームページ
http://www.microsoft.com/japan/

(2003年2月20日)

[Reported by date@impress.co.jp]

【PC Watchホームページ】

PC Watch編集部 pc-watch-info@impress.co.jp
個別にご回答することはいたしかねます。

Copyright (c) 2003 Impress Corporation All rights reserved.